· Jonathan Izquierdo · Evidencia Digital ·
Cadena de custodia digital: guía ISO 27037 para evidencia electrónica (2026)
Todo sobre la cadena de custodia digital: qué es, fases, normativa ISO 27037, cómo documentarla y errores que invalidan pruebas electrónicas en juicio.
Resumen ejecutivo: cadena de custodia digital
| Dato clave | Detalle |
|---|---|
| Resumen | La cadena de custodia digital es el procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de una evidencia electrónica desde su identificación hasta su presentación en juicio |
| Definicion | Registro cronológico y exhaustivo de quién accedió a la evidencia digital, cuándo, dónde y qué operaciones realizó, respaldado por hashes criptográficos SHA-256 y actas de transferencia |
| Cuando actuar | Inmediatamente tras detectar el incidente: cada minuto sin preservar la evidencia aumenta el riesgo de contaminación, sobreescritura o pérdida irreversible de datos |
| Normativa clave | ISO/IEC 27037:2012, UNE 71505-3:2013, LEC arts. 299/382-384, LECrim arts. 588 bis a-k |
| Herramientas | FTK Imager, EnCase Forensic, Autopsy, Guymager, Cellebrite UFED |
| Coste peritaje | 600-2.500 EUR dependiendo de dispositivo y complejidad (ver precios detallados) |
En 2025, los tribunales españoles tramitaron más de 43.000 procedimientos en los que la prueba electrónica fue determinante, según datos del Consejo General del Poder Judicial (CGPJ, Memoria Anual 2025). Sin embargo, un porcentaje significativo de esas pruebas digitales fue impugnado por defectos en la cadena de custodia digital. La Sentencia del Tribunal Supremo 300/2015 ya advirtió que la ruptura de la cadena de custodia genera una “sospecha de manipulación” que puede invalidar la evidencia más relevante del caso.
Esta guía explica, paso a paso, qué es la cadena de custodia digital, cómo documentarla conforme a la norma ISO/IEC 27037, qué exige la legislación española y cuáles son los errores que con más frecuencia llevan a la exclusión de pruebas electrónicas en juicio.
Qué es la cadena de custodia digital
La cadena de custodia digital es el procedimiento documentado que registra de forma continua e ininterrumpida quién ha tenido acceso a una evidencia electrónica, cuándo se ha accedido, dónde se ha almacenado y qué operaciones se han realizado sobre ella, desde el momento de su identificación hasta su presentación ante un tribunal.
A diferencia de la custodia de objetos físicos, la evidencia digital presenta características únicas que hacen su cadena de custodia más exigente:
- Volatilidad: los datos pueden modificarse o perderse con el simple paso del tiempo, el reinicio de un equipo o una actualización automática.
- Duplicabilidad exacta: es posible crear copias bit a bit idénticas al original, lo que permite trabajar sin alterar la fuente.
- Invisibilidad de la manipulación: una alteración en un archivo digital no deja marcas visibles a simple vista; solo los hashes criptográficos y los metadatos permiten detectarla.
- Dispersión: la evidencia puede residir simultáneamente en dispositivos locales, servidores remotos, copias de seguridad en la nube y caches de terceros.
Definición citable
La cadena de custodia digital es el registro cronológico, exhaustivo y verificable de todas las personas, acciones, herramientas y condiciones que intervienen en el ciclo de vida de una evidencia electrónica, desde su identificación inicial hasta su presentación judicial, con el fin de garantizar su integridad, autenticidad y admisibilidad procesal.
El propósito fundamental de la cadena de custodia es responder, en cualquier momento del proceso, a cuatro preguntas:
- Quién ha tenido contacto con la evidencia (identificación nominal y firma).
- Cuándo se ha producido cada interacción (timestamps con zona horaria).
- Dónde ha estado almacenada la evidencia (ubicación física y lógica).
- Qué se ha hecho con ella en cada paso (descripción de operaciones y herramientas utilizadas).
Si alguna de estas cuatro preguntas no puede responderse para un momento concreto del ciclo de vida de la evidencia, existe lo que se denomina un gap de custodia, que puede comprometer la admisibilidad de toda la prueba.
Marco legal de la cadena de custodia digital en España
El ordenamiento jurídico español no cuenta con una ley específica dedicada exclusivamente a la cadena de custodia digital. En su lugar, la regulación se construye a partir de varias normas procesales, penales y de protección de datos que, en conjunto, establecen los requisitos de admisibilidad.
Ley de Enjuiciamiento Civil (LEC)
- Artículo 299.2: admite como medio de prueba “los medios de reproducción de la palabra, el sonido y la imagen, así como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones matemáticas llevadas a cabo con fines contables o de otra clase”.
- Artículo 382: regula la reproducción ante el tribunal de medios audiovisuales, pudiendo las partes aportar los dictámenes y medios de prueba que estimen pertinentes sobre su autenticidad.
- Artículo 384: regula la presentación como prueba de instrumentos que sirvan para archivar datos, reconociendo su valor probatorio cuando se acredite su autenticidad e integridad.
Ley de Enjuiciamiento Criminal (LECrim)
- Artículos 588 bis a) a 588 bis k): regulan las diligencias de investigación tecnológica, estableciendo requisitos de autorización judicial, proporcionalidad y preservación de la integridad de los datos obtenidos.
- Artículos 588 ter a) a 588 ter i): regulan específicamente la interceptación de comunicaciones telemáticas, incluyendo obligaciones de integridad y custodia.
Reglamento General de Protección de Datos (RGPD) y LOPD-GDD
El tratamiento de datos personales contenidos en evidencias digitales debe respetar los principios del RGPD (Reglamento UE 2016/679) y la Ley Orgánica 3/2018 (LOPD-GDD). En particular:
- Principio de minimización: solo se deben recopilar los datos estrictamente necesarios para la finalidad procesal.
- Base legitimadora: el tratamiento debe ampararse en el artículo 6.1.f) del RGPD (interés legítimo) o en la obligación legal derivada del proceso judicial.
Normas UNE españolas
- UNE 71505-1:2013: establece la metodología para la gestión de evidencias electrónicas.
- UNE 71505-3:2013: define los formatos y mecanismos técnicos para garantizar la integridad de las evidencias.
- UNE 197010:2015: regula los criterios generales para la elaboración de informes periciales sobre tecnologías de la información.
Importante para abogados
La STS 300/2015 del Tribunal Supremo estableció que la cadena de custodia no constituye una “prueba” en sí misma, sino una “garantía formal” de que la evidencia no ha sido alterada. Su ruptura no implica automáticamente la nulidad de la prueba, pero sí genera una presunción de irregularidad que la parte contraria puede explotar eficazmente para impugnar la evidencia. Consulte con un perito informático forense antes de presentar evidencia digital.
Norma ISO/IEC 27037: las 4 fases del tratamiento de evidencia digital
La norma ISO/IEC 27037:2012 (Guidelines for identification, collection, acquisition and preservation of digital evidence) es el estándar internacional de referencia para el tratamiento de evidencia digital. Define cuatro fases secuenciales que estructuran toda la cadena de custodia (ISO/IEC 27037:2012, cláusulas 7-10).
Tabla resumen: las 4 fases ISO 27037
| Fase | Objetivo | Actividades principales | Documentación generada | Responsable |
|---|---|---|---|---|
| 1. Identificación | Localizar y reconocer la evidencia digital potencial | Inventario de dispositivos, evaluación de la escena, priorización por volatilidad, fotografía del estado inicial | Acta de identificación, inventario de dispositivos, fotografías, diagrama de red | DEFR (Digital Evidence First Responder) |
| 2. Recopilación | Recoger los dispositivos físicos que contienen la evidencia | Etiquetado y precintado, embalaje antiestático, documentación del estado físico, desconexión controlada | Acta de recopilación, formularios de transferencia, etiquetas de precinto, fotografías | DEFR / Perito forense |
| 3. Adquisición | Crear copias forenses exactas de la evidencia | Imagen bit a bit (dd, FTK Imager, Guymager), clonado de discos, extracción lógica y física de móviles, cálculo de hashes | Log de adquisición, hashes SHA-256/MD5, acta de verificación, registro de herramientas | DES (Digital Evidence Specialist) / Perito forense |
| 4. Preservación | Mantener la integridad de la evidencia a largo plazo | Almacenamiento seguro con control de acceso, verificación periódica de hashes, copias redundantes, control ambiental | Registro de almacenamiento, logs de verificación periódica, actas de acceso, informes de integridad | Custodio designado / Perito forense |
Fase 1: identificación
La identificación es el primer contacto con la potencial evidencia digital. El objetivo es determinar qué elementos pueden contener datos relevantes sin alterar su estado. La norma ISO 27037 establece que el DEFR (Digital Evidence First Responder) debe:
- Evaluar la escena y documentarla visualmente (fotografías, croquis).
- Identificar todos los dispositivos digitales presentes (ordenadores, móviles, servidores, dispositivos IoT, medios extraíbles).
- Priorizar la recopilación según el orden de volatilidad (RFC 3227): primero registros de memoria RAM, luego caches, tablas de enrutamiento, archivos temporales, discos duros y, por último, datos de archivo.
- No encender ni apagar ningún dispositivo hasta evaluar su estado.
Fase 2: recopilación
La recopilación implica la recogida física de los dispositivos que contienen la evidencia. Esta fase es crítica porque cualquier error puede provocar la contaminación o destrucción de los datos:
- Cada dispositivo debe recibir una etiqueta única con número de caso, fecha, hora y responsable.
- Los precintos de seguridad deben ser numerados y registrados.
- Los dispositivos deben almacenarse en bolsas antiestáticas y cajas rígidas que eviten daños durante el transporte.
- El formulario de cadena de custodia debe firmarse en cada transferencia.
Fase 3: adquisición
La adquisición es el proceso técnico de crear copias forenses exactas de la evidencia digital. Es la fase más técnica y donde la intervención del perito informático forense es imprescindible:
- Se crean imágenes forenses bit a bit (sector por sector) del medio de almacenamiento completo.
- Se calculan hashes criptográficos (SHA-256 como mínimo; opcionalmente también MD5 para compatibilidad) tanto del original como de la copia.
- Se verifica que los hashes del original y la copia coincidan exactamente.
- Todo el proceso se documenta en un log que incluye: herramienta utilizada, versión, hora de inicio, hora de fin, hashes y resultado de la verificación.
Fase 4: preservación
La preservación garantiza que la evidencia mantiene su integridad durante todo el tiempo que dure el proceso judicial, que puede prolongarse meses o años:
- Almacenamiento en entorno seguro con control de acceso (cerradura, caja fuerte o sala restringida).
- Verificación periódica de hashes para confirmar que no se ha producido ninguna alteración.
- Mantenimiento de al menos dos copias en ubicaciones diferentes.
- Control de condiciones ambientales (temperatura y humedad) para soportes magnéticos y ópticos.
Diferencia entre cadena de custodia física y cadena de custodia digital
Aunque comparten el mismo principio (garantizar la integridad de la evidencia), la custodia de objetos físicos y la de datos digitales presentan diferencias sustanciales que el perito forense debe conocer.
| Aspecto | Cadena de custodia física | Cadena de custodia digital |
|---|---|---|
| Naturaleza de la evidencia | Objeto tangible (arma, documento en papel, muestra biológica) | Datos intangibles almacenados en soporte electrónico |
| Detección de alteración | Visual o mediante análisis (huellas, marcas) | Solo mediante hashes criptográficos y logs |
| Duplicabilidad | Difícil o imposible crear copia exacta | Copia bit a bit idéntica al original |
| Volatilidad | Generalmente estable en condiciones adecuadas | Alta: datos en RAM se pierden al apagar, logs se sobreescriben |
| Ubicación | Un solo lugar físico a la vez | Puede existir simultáneamente en múltiples dispositivos y jurisdicciones |
| Transporte | Requiere embalaje y protección física | Puede transferirse electrónicamente sin mover el soporte |
| Verificación de integridad | Comparación visual, pesaje, análisis físico | Hash SHA-256, verificación de metadatos, timestamps |
| Norma de referencia | Protocolos policiales, ISO 17025 (laboratorios) | ISO/IEC 27037:2012, UNE 71505, RFC 3227 |
| Riesgo principal | Contaminación física, rotura, pérdida | Sobreescritura, modificación de metadatos, eliminación remota |
| Herramientas de custodia | Bolsas de evidencia, precintos, cámaras frigoríficas | Write blockers, software de imagen forense, almacenamiento cifrado |
Una diferencia clave
En la custodia física, la manipulación suele dejar rastros detectables (un precinto roto, una huella dactilar). En la custodia digital, una modificación puede ser invisible sin herramientas forenses: un archivo puede alterarse sin cambiar su nombre, tamaño aparente ni fecha visible. Por eso los hashes criptográficos son absolutamente imprescindibles.
Cómo se documenta la cadena de custodia digital
La documentación es el eje vertebral de la cadena de custodia. Sin documentación, no hay cadena. A continuación se describen los elementos que debe contener un registro de custodia completo.
Hash criptográfico SHA-256
El hash SHA-256 es el mecanismo técnico que garantiza la integridad de la evidencia. Se trata de una función criptográfica que genera una huella digital única de 256 bits para cualquier conjunto de datos. Si se modifica un solo bit del archivo original, el hash resultante cambia por completo.
Ejemplo práctico de hash SHA-256:
Imagen forense original:
SHA-256: 7f83b1657ff1fc53b92dc18148a1d65dfc2d4b1fa3d677284addd200126d9069
Copia verificada:
SHA-256: 7f83b1657ff1fc53b92dc18148a1d65dfc2d4b1fa3d677284addd200126d9069
Resultado: COINCIDEN → Integridad verificadaEl hash debe calcularse:
- Inmediatamente tras la adquisición del original.
- Después de crear cada copia forense.
- Periódicamente durante el almacenamiento.
- Antes de la presentación ante el tribunal.
Timestamps con zona horaria
Cada entrada en el registro de custodia debe incluir la fecha y hora exactas en formato inequívoco, incluyendo la zona horaria. La norma ISO 8601 recomienda el formato: 2026-02-09T17:30:00+01:00 (CET).
Formulario tipo de cadena de custodia
Un formulario completo de cadena de custodia digital debe incluir estos campos:
| Campo | Ejemplo |
|---|---|
| Numero de caso | CDC-2026-00142 |
| Descripcion del dispositivo | Portátil Dell Latitude 5540, S/N: JK8923XZ |
| Estado al recibirlo | Encendido, pantalla bloqueada, conectado a red corporativa |
| Fecha/hora de recepcion | 2026-02-09T10:15:00+01:00 |
| Entregado por | Ana García López (Responsable IT, Empresa X) - DNI/NIF |
| Recibido por | Jonathan Izquierdo (Perito informático forense) - DNI/NIF |
| Hash SHA-256 del original | 7f83b1657ff1fc53b92dc18148a1d65dfc2d4b1fa3d677284addd200126d9069 |
| Herramienta de adquisicion | FTK Imager v4.7.1.2 |
| Hash SHA-256 de la copia | 7f83b1657ff1fc53b92dc18148a1d65dfc2d4b1fa3d677284addd200126d9069 |
| Ubicacion de almacenamiento | Caja fuerte Lab Forense, armario 3, estante B |
| Firmas | Entregante + Receptor + Testigo |
Acta de adquisición forense
El acta de adquisición es un documento específico que registra el proceso técnico de creación de la imagen forense. Debe incluir:
- Datos del perito (nombre, titulación, experiencia).
- Datos del caso y del solicitante.
- Descripción detallada del dispositivo (marca, modelo, número de serie, estado físico).
- Herramienta de adquisición (nombre, versión, licencia).
- Tipo de adquisición (física, lógica, sistema de archivos).
- Hora de inicio y fin del proceso.
- Hashes calculados (original y copia).
- Resultado de la verificación.
- Firma del perito y, si procede, de testigos.
Herramientas forenses para mantener la cadena de custodia
La elección de herramientas forenses validadas es fundamental para la admisibilidad de la evidencia. Los tribunales españoles reconocen tanto herramientas comerciales como open source siempre que el perito pueda justificar su fiabilidad y documentar su uso.
Tabla comparativa de herramientas forenses
| Herramienta | Tipo | Funcionalidad principal | Calculo de hash | Formato de imagen | Validacion judicial | Precio |
|---|---|---|---|---|---|---|
| FTK Imager | Gratuita (Exterro) | Adquisición de imágenes forenses | MD5, SHA-1, SHA-256 | E01, DD, AFF | Alta (ampliamente reconocida) | Gratuita |
| EnCase Forensic | Comercial (OpenText) | Suite completa: adquisición + análisis | MD5, SHA-1, SHA-256 | E01, Ex01 | Muy alta (estándar de la industria) | Desde 3.000 EUR/año |
| Autopsy | Open source | Análisis forense completo | MD5, SHA-256 | DD, E01, VHD | Alta (basada en The Sleuth Kit) | Gratuita |
| Guymager | Open source (CAINE) | Adquisición de imágenes en Linux | MD5, SHA-1, SHA-256 | DD, E01, AFF | Media-alta | Gratuita |
| Cellebrite UFED | Comercial | Extracción forense de dispositivos móviles | MD5, SHA-256 | UFD, UFDR | Muy alta (estándar en móviles) | Desde 5.000 EUR/año |
| Oxygen Forensic Detective | Comercial | Extracción móvil y datos cloud | MD5, SHA-256 | OFB | Alta | Desde 4.000 EUR/año |
| X-Ways Forensics | Comercial | Análisis forense de discos y memoria | MD5, SHA-1, SHA-256 | DD, E01 | Alta (popular en Europa) | Desde 1.000 EUR |
Write blockers: proteger el original
Los write blockers (bloqueadores de escritura) son dispositivos hardware o software que impiden cualquier escritura en el medio de almacenamiento original durante la adquisición. Son esenciales para mantener la cadena de custodia:
- Hardware write blockers: Tableau T35u (USB), Tableau T8u (USB 3.0), WiebeTech ComboDock. Se interponen físicamente entre el disco y el equipo del perito.
- Software write blockers: montaje en modo solo lectura en Linux (
mount -o ro), herramientas de CAINE Linux que activan bloqueo de escritura a nivel kernel.
Sin write blocker no hay cadena de custodia
Si el perito conecta un disco duro directamente a su equipo de análisis sin write blocker, el sistema operativo puede modificar automáticamente metadatos (último acceso, journaling). Este solo hecho puede comprometer la cadena de custodia y dar argumentos para la impugnación. Es un error que aún se comete con frecuencia.
8 errores que rompen la cadena de custodia digital
Estos son los errores más frecuentes que he observado en mi práctica profesional como perito informático forense. Cada uno de ellos ha provocado, en casos reales, la impugnación o exclusión de pruebas electrónicas en tribunales españoles.
1. No calcular el hash inmediatamente tras la adquisición. Si transcurre un periodo de tiempo sin hash documentado entre la obtención del dispositivo y la creación de la imagen forense, la parte contraria puede argumentar que los datos pudieron ser manipulados en ese intervalo. El hash SHA-256 debe calcularse en el mismo acto de la adquisición.
2. Gaps temporales sin documentar. Cualquier periodo en el que no quede registrado dónde estuvo la evidencia ni quién tuvo acceso a ella constituye un gap de custodia. Incluso unas horas sin documentar (por ejemplo, un fin de semana en un despacho sin control de acceso) pueden ser explotadas por la defensa.
3. Trabajar sobre el original en lugar de sobre copias forenses. Uno de los principios cardinales del análisis forense es nunca alterar la evidencia original. Todo el trabajo de análisis debe realizarse sobre copias forenses verificadas. Si se demuestra que el perito trabajó directamente sobre el dispositivo original, la cadena de custodia queda comprometida.
4. No utilizar write blockers durante la adquisición. Conectar un disco duro a un ordenador sin write blocker permite que el sistema operativo modifique metadatos automáticamente (timestamps NTFS, journal ext4). Estos cambios, aunque mínimos, alteran el hash del disco y rompen la trazabilidad.
5. Formularios de transferencia incompletos o sin firmas. Cada vez que la evidencia cambia de manos (de IT a abogado, de abogado a perito, de perito a juzgado), debe firmarse un acta de transferencia con fecha, hora y estado de los precintos. La ausencia de firmas en cualquier transferencia debilita gravemente la cadena.
6. No verificar periódicamente los hashes durante el almacenamiento. La evidencia puede almacenarse durante meses o años antes del juicio. Si los hashes no se verifican periódicamente, no se puede demostrar que la evidencia ha permanecido intacta durante todo ese tiempo. Se recomienda verificación mensual o al menos trimestral.
7. Almacenamiento en entornos inseguros. Guardar discos duros con evidencia en un cajón de escritorio sin cerradura, en un despacho compartido o en un almacén sin control de acceso compromete la custodia. El almacenamiento debe realizarse en entornos con acceso restringido y registro de entradas.
8. Uso de herramientas no validadas o sin documentar. Si el perito utiliza un script personalizado o una herramienta no reconocida por la comunidad forense sin documentar exhaustivamente su funcionamiento y fiabilidad, la parte contraria puede impugnar los resultados. Se deben usar herramientas reconocidas (FTK, EnCase, Autopsy) o, si se usan herramientas propias, documentar y validar su correcto funcionamiento.
Consecuencia de romper la cadena de custodia
La ruptura de la cadena de custodia no siempre implica la exclusión automática de la prueba. El Tribunal Supremo (STS 116/2017) ha establecido que los defectos de custodia afectan a la fiabilidad de la prueba, no necesariamente a su licitud. Sin embargo, en la práctica, una cadena de custodia defectuosa reduce drásticamente el valor probatorio y facilita la impugnación por la parte contraria. Consulte con un perito forense antes de que sea tarde.
Jurisprudencia española relevante sobre cadena de custodia digital
Los tribunales españoles han ido construyendo una doctrina progresiva sobre la cadena de custodia en evidencia digital. Estas son las sentencias más relevantes:
STS 300/2015 (Sala Segunda del Tribunal Supremo)
Principio establecido: la cadena de custodia es una garantía formal, no un medio de prueba. Su ruptura no implica automáticamente la nulidad de la prueba, pero sí afecta a su fiabilidad y permite la impugnación.
Relevancia práctica: obliga al perito a documentar exhaustivamente toda la cadena, pero también permite “sanar” defectos menores si se puede demostrar por otros medios que la evidencia no fue alterada.
STS 116/2017 (Sala Segunda del Tribunal Supremo)
Principio establecido: los defectos en la cadena de custodia deben valorarse caso por caso. No existe un automatismo que invalide la prueba; el tribunal debe evaluar si el defecto concreto ha podido afectar a la integridad de la evidencia.
STS 634/2025 (Sala Segunda del Tribunal Supremo)
Principio establecido: en el ámbito penal, las capturas de pantalla de WhatsApp sin peritaje forense que acredite su autenticidad e integridad no son suficientes como prueba. Se requiere verificación técnica por perito.
Relevancia práctica: refuerza la necesidad de que un perito informático forense intervenga en la preservación y documentación de la evidencia digital en procedimientos penales.
SAP Madrid 432/2023 (Audiencia Provincial de Madrid)
Principio establecido: la presentación de correos electrónicos impresos sin certificación de su origen ni hash de verificación no constituye prueba suficiente. Se requiere que un perito acredite la autenticidad del email mediante análisis de cabeceras y metadatos.
STS 489/2018 (Sala Segunda del Tribunal Supremo)
Principio establecido: la ausencia de contrapericial sobre la evidencia digital presentada por una parte no equivale a la aceptación tácita de su autenticidad. Cada parte tiene la carga de acreditar la fiabilidad de la evidencia que presenta.
Consejo para abogados
Si la parte contraria presenta evidencia digital sin cadena de custodia documentada, solicite expresamente su impugnación citando la STS 300/2015 y requiera la intervención de un perito informático forense para verificar la integridad. Consulte nuestra guía para abogados sobre prueba digital para más detalle procesal.
Caso práctico: cadena de custodia en investigación de fraude corporativo
Para ilustrar cómo se aplica la cadena de custodia digital en un caso real, se describe a continuación un procedimiento tipo basado en la práctica forense habitual.
Nota: los datos del caso han sido anonimizados y simplificados con fines didácticos.
Situación: una empresa detecta que un empleado del departamento financiero ha realizado transferencias no autorizadas a cuentas de terceros por un importe total de 87.000 EUR.
Identificación (Día 1, 09:00h): el departamento de IT detecta las transferencias anómalas y notifica a dirección. Se identifica el portátil del empleado (Lenovo ThinkPad T14, S/N: PF3K92XY), su teléfono corporativo (iPhone 14 Pro, IMEI: 356938…) y su cuenta de correo corporativa. Se fotografía el puesto de trabajo sin tocar los dispositivos.
Recopilación (Día 1, 10:30h): el perito informático forense llega a la empresa. Se procede a la recogida de los dispositivos. El portátil estaba encendido, por lo que se realiza primero una captura de memoria RAM (volatility data) antes de apagarlo. Ambos dispositivos se etiquetan, precintan y se firman las actas de transferencia con presencia de un testigo (responsable de RRHH).
Adquisición (Día 1, 14:00h): en el laboratorio forense, se conecta el disco duro del portátil a una estación forense mediante write blocker hardware Tableau T35u. Se crea imagen forense con FTK Imager v4.7.1 en formato E01. Hash SHA-256 del original y de la copia: coinciden. El iPhone se procesa con Cellebrite UFED para extracción física completa. Se generan hashes de verificación.
Preservación (Día 1-Día 90): el disco duro original y una copia de las imágenes forenses se almacenan en caja fuerte del laboratorio con control de acceso biométrico. Se programa verificación de hashes mensual. Las imágenes de trabajo se almacenan en servidor forense cifrado con acceso restringido al perito.
Resultado: el análisis forense reveló las transferencias fraudulentas, los emails con las instrucciones a las entidades receptoras y los intentos de borrado de evidencia por parte del empleado. La cadena de custodia resistió la impugnación en juicio y la evidencia fue admitida íntegramente.
Preguntas frecuentes sobre la cadena de custodia digital
1. ¿Qué ocurre si se rompe la cadena de custodia?
La ruptura de la cadena de custodia no implica automáticamente que la prueba sea excluida (STS 300/2015). Sin embargo, reduce significativamente su valor probatorio y la expone a la impugnación por la parte contraria. El tribunal valorará la gravedad del defecto y si existen medios alternativos para acreditar la integridad de la evidencia.
2. ¿Es obligatorio usar hash SHA-256 o vale con MD5?
Aunque MD5 se ha utilizado históricamente y sigue siendo aceptado por muchos tribunales, su uso exclusivo es desaconsejable porque existen vulnerabilidades conocidas de colisión (Wang et al., 2004). La práctica recomendada es utilizar SHA-256 como hash principal y opcionalmente MD5 como hash complementario para compatibilidad con sistemas legacy.
3. ¿Quién puede ser custodio de la evidencia digital?
Cualquier persona puede actuar como custodio siempre que se documente adecuadamente. Sin embargo, para que la cadena tenga máxima validez, es recomendable que el custodio principal sea un perito informático forense con formación y experiencia acreditadas, ya que puede testimoniar sobre las medidas de preservación adoptadas.
4. ¿Cuánto tiempo debe conservarse la evidencia digital?
La evidencia debe conservarse durante todo el procedimiento judicial y hasta que la sentencia sea firme y se agoten los plazos de recurso. En la práctica, se recomienda conservar la evidencia un mínimo de 5 años tras la resolución del caso, dado que pueden surgir acciones judiciales derivadas.
5. ¿Sirve una captura de pantalla como evidencia digital?
Una captura de pantalla por sí sola tiene un valor probatorio muy limitado, ya que es fácilmente falsificable (STS 634/2025). Para que tenga validez procesal plena, debe ir acompañada de un informe pericial que certifique su autenticidad mediante análisis forense del dispositivo original, extracción de la base de datos de la aplicación y verificación de hashes.
6. ¿La cadena de custodia se aplica igual en procedimientos civiles y penales?
Los principios son los mismos, pero la exigencia es mayor en el ámbito penal. En procedimientos penales, los tribunales son más estrictos con la cadena de custodia por las consecuencias que puede tener para la libertad del acusado (STS 634/2025). En procedimientos civiles, los defectos de custodia se valoran dentro de la libre valoración de la prueba del juez (art. 376 LEC).
7. ¿Puede un particular mantener la cadena de custodia o necesita un perito?
Un particular puede iniciar la preservación de evidencia (por ejemplo, no apagando un dispositivo que contiene pruebas o evitando su manipulación). Sin embargo, para garantizar la admisibilidad judicial, es fundamental que un perito informático forense intervenga lo antes posible para formalizar la cadena de custodia con los protocolos técnicos adecuados.
8. ¿Cómo afecta la cadena de custodia a la evidencia almacenada en la nube?
La evidencia en la nube presenta retos adicionales: los datos pueden estar distribuidos en servidores de múltiples jurisdicciones y el proveedor cloud puede modificar metadatos durante operaciones rutinarias. La cadena de custodia debe documentar el proceso de adquisición incluyendo: la URL exacta, el método de descarga, los hashes de los archivos descargados, la herramienta utilizada y capturas de los metadatos del servicio cloud en el momento de la adquisición.
Preguntas relacionadas
Si has llegado hasta aquí, estos recursos complementarios de digitalperito.es pueden resultar de utilidad:
- Cadena de custodia: definición y requisitos legales - Definición técnica completa en nuestro glosario forense con FAQs y ejemplo práctico paso a paso.
- Análisis forense digital: en qué consiste - Servicio completo de investigación forense de dispositivos, desde la adquisición hasta el informe pericial.
- Cómo preparar evidencia digital para un proceso judicial - Guía paso a paso con las 4 fases del proceso y checklist de validación.
- Guía para abogados: WhatsApp como prueba judicial - Checklist profesional con jurisprudencia actualizada para aportar WhatsApp en procedimiento judicial.
- Guymager y CAINE: adquisición forense en modo solo lectura - Tutorial de herramientas open source para la fase de adquisición de la cadena de custodia.
- ¿Cuánto cuesta un informe pericial informático? - Precios actualizados 2026 desglosados por tipo de dispositivo y complejidad.
¿Necesita garantizar la cadena de custodia de su evidencia digital?
La cadena de custodia es la diferencia entre una prueba admisible y una impugnada. Como perito informático forense, garantizo la adquisición, documentación y preservación conforme a ISO 27037 y normativa española.
Consulta gratuitaReferencias y fuentes
ISO/IEC 27037:2012 - Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence. International Organization for Standardization. iso.org/standard/44381.html
UNE 71505-3:2013 - Tecnologías de la Información. Sistema de Gestión de Evidencias Electrónicas. Parte 3: Formatos y mecanismos técnicos. Asociación Española de Normalización (UNE). une.org
RFC 3227 - Guidelines for Evidence Collection and Archiving. Internet Engineering Task Force (IETF), 2002. rfc-editor.org/rfc/rfc3227
Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil - Artículos 299, 382, 384. Boletín Oficial del Estado. boe.es/buscar/act.php?id=BOE-A-2000-323
Ley Orgánica 13/2015, de 5 de octubre - Modificación de la LECrim para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica. boe.es/buscar/doc.php?id=BOE-A-2015-10725
Reglamento (UE) 2016/679 (RGPD) - Reglamento General de Protección de Datos. Parlamento Europeo y Consejo de la UE. eur-lex.europa.eu
STS 300/2015, Sala Segunda del Tribunal Supremo - Sobre la naturaleza jurídica de la cadena de custodia como garantía formal. Poder Judicial de España. poderjudicial.es
STS 116/2017, Sala Segunda del Tribunal Supremo - Sobre la valoración caso por caso de los defectos de custodia. Poder Judicial de España.
STS 634/2025, Sala Segunda del Tribunal Supremo - Sobre la insuficiencia de capturas de pantalla de WhatsApp sin peritaje forense en ámbito penal. Poder Judicial de España.
NIST SP 800-86 - Guide to Integrating Forensic Techniques into Incident Response. National Institute of Standards and Technology, 2006. nist.gov/publications/guide-integrating-forensic-techniques-incident-response
CGPJ - Memoria Anual 2025 - Estadísticas de actividad judicial. Consejo General del Poder Judicial. poderjudicial.es
Wang, X., Yu, H. (2005) - How to Break MD5 and Other Hash Functions. Advances in Cryptology - EUROCRYPT 2005. Springer, LNCS 3494. doi.org/10.1007/11426639_2
UNE 197010:2015 - Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC). Asociación Española de Normalización.
Sobre el autor: Jonathan Izquierdo es perito informático forense con más de 15 años de experiencia en el sector tecnológico. Certificado en AWS Security y AWS Solutions Architect, combina experiencia en arquitectura de sistemas con rigor pericial forense. Especializado en evidencia digital, análisis forense de dispositivos y elaboración de informes periciales con validez judicial.
